本节主要介绍NAT产品与其它服务的关系 相关服务 交互功能 云专线 通过云专线接入VPC的本地服务器，可以通过公网NAT网关访问公网或为公网提供服务。 虚拟专用网络 通过VPN可以在远端用户和VPC之间建立一条安全加密的公网通信隧道。为通过公网NAT网关访问公网提供了更加安全的访问。 弹性云主机 公网NAT网关可以为弹性云主机提供访问公网或者为公网提供服务的能力。 虚拟私有云 虚拟私有云内的弹性云主机与Internet互连。 弹性IP 实现VPC中的云主机以公网NAT网关的形式共享弹性公网IP访问公网或为公网提供服务。 云监控 查看NAT网关的监控数据，还可以获取可视化监控图表。

内核增强 天翼云在开源Elasticsearch和OpenSearch的基础上做了大量集群能力增强。例如： 支持向量检索：天翼云云搜索在开源Elasticsearch基础上实现了对向量检索功能的支持。详情参见向量检索。 中文分词场景优化：提升准确性，在多项中文分词数据集上的平均F1score可以达到0.87。详情参见中文分词增强。 压缩算法支持：在默认的LZ4和BESTCOMPRESSION压缩算法之外，额外实现了对ZSTD压缩算法的支持，在性能几乎没有损失的情况下，压缩率提升了10%以上。详情参见压缩算法。 流量控制：自研实现了流量控制插件，可以实时监控集群的Search请求情况，将集群的请求流量控制在一个合理的范围内。详情参见流量控制。 天翼云自研搜索引擎还实现了对跨集群复制、简繁体转换、异步搜索、SQL功能、细粒度权限管控等多种搜索高阶功能的支持。 具体各个内核的增强介绍和使用示例可参考集群增强特性章节。

本小节介绍Web应用防火墙功能特性。 网络层防护 HTTP/HTTPS Flood（CC 攻击）防护 应用层防护 黑白名单 对指定访问源加白名单，对恶意访问来源进行封禁。 支持 IP、URL、UserAgent（用户代理）、Referer（Http 访问来源）。 HTTP协议规范攻击防护 包括特殊字符过滤、请求方式、内容传输方式。 例如：multipart/formdata，text/xml，application/xwwwformurlencoded。 注入攻击（form和URL参数，post和get）防护 包括SQL注入防御、LDAP注入防御、命令注入防护（OS命令，Webshell等）、XPath注入、Xml/Json注入。 XSS攻击访问 Form和URL参数，post和get，包括三类攻击：存储式，反射式、基于Dom的XSS。 目录遍历（Path Traversal）攻击防护 认证管理和会话劫持攻击防护 阻断认证管理、cookie信息被盗用、会话劫持攻击。 内容过滤 过滤post form和get参数。 Web服务器漏洞探测攻击防护 阻断Web服务器漏洞探测。 爬虫防护 限制阻断爬虫访问。 站点转换（URL rewrite）访问防护 限制阻断站点转换访问。 网页检测到异常自动阻断源地址 认证管理和会话劫持 防护 CSRF

本章节介绍Redis主从切换故障演练。 背景介绍 Redis 高可用性依赖自动主备切换机制。当主节点故障时，备节点会被提升为新主节点，以保障服务连续性，但切换期间可能出现短暂中断或只读窗口。本演练通过主动触发可控主备切换，帮助您验证客户端故障转移与自动重连能力以及评估切换对业务的瞬时影响。 基本原理 通过调用Redis主从切换OpenAPI，触发Redis集群实例进行主从切换。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式缓存服务Redis版 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标Redis 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式缓存服务Redis版。 添加实例 ：单击添加实例 ，勾选上一步中添加的Redis实例。 添加故障动作 ：单击立即添加 ，在列表中选择主从切换动作。 4. 单击确定完成动作添加，此故障动作无需配置额外参数。

请求示例 按天（byDay）查询Bucket为examplebucket、数据位置为ZhengZhou、20191015至20191016的所有标准存储数据请求次数。 plaintext GET /?ActionGetRequests&BeginDate20191015&EndDate20191016&Bucketexamplebucket&FreqbyDay&RegionZhengZhou HTTP/1.1 Date: Wed, 16 Oct 2019 06:51:49 GMT Authorization: SignatureValue Host: ooscnmg.ctyunapi.cn 响应示例 plaintext HTTP/1.1 200 OK Date: Wed, 16 Oct 2019 06:51:50 GMT xamzrequestid: 60d2744539e84af5 ContentLength: 1244 ContentType: application/xml; charsetutf8 Server: CTYUN test@ctyun.cn usertest1 UTC +0800 all all byDay examplebucket ZhengZhou 20191015 101 102 103 104 105 106 107 108 109 110 111 112 ...

本节主要介绍如何使用API设置存储池内卷的默认QoS策略。 此操作用来设置存储池内卷的默认QoS策略。 说明 当多次设置存储池内卷的默认QoS策略，以最后一次操作为准。 请求语法 plaintext PUT /rest/v1/system/qos/qosName/storagepoolforlun/assoc HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization: authorization { "list": [ storagepool1,storagepool2… ], } 请求参数 参数 类型 描述 是否必须 qosName String 指定QoS策略名称。 是 list Array of string 指定存储池名称，设置该存储池内卷的默认QoS策略。 是 请求示例 设置存储池内卷的默认QoS策略。 plaintext PUT /rest/v1/system/qos/QoS6/storagepoolforlun/assoc HTTP/1.1 Date: Wed, 02 Jul 2025 04:01:21 GMT ContentType: application/json; charsetutf8 Authorization: HBlock userName:signature ContentLength: 37 Host: 192.168.0.64:1443 { "list": ["default","pool1"] } 响应示例 plaintext HTTP/1.1 204 No Content xhblockrequestid: e4cec28689ef42bc9cd8caac91134fdc Connection: keepalive Date: Wed, 02 Jul 2025 04:01:21 GMT Server: HBlock

请求示例 获取指定IAM用户组testgroup中的IAM用户列表。 POST / HTTP/1.1 Host:ooscniam.ctyunapi.cn xamzcontentsha256: UNSIGNEDPAYLOAD Authorization: SignatureValue XAmzDate: 20190130T065257Z Contenttype: application/octetstream ActionGetGroup&Version20100508&GroupNametestgroup 响应示例 HTTP/1.1 200 OK xamzrequestid:eaa7820a93344169 ContentType:text/xml;charsetUTF8 ContentLength:1098 Date:Wed, 30 Jan 2019 06:52:57 GMT Server: CTYUN false 20190107T05:57:35Z test1 arn:ctyun:iam::10rc2arpn6306:user/test1 623387e786314d3f973359c9de61a39d 20190107T05:53:20Z 20190110T05:53:20Z test2 arn:ctyun:iam::10rc2arpn6306:user/test2 723387e786314d3f973359c9de61a39d 20150921T07:20:12Z 20190715T01:18:21Z 20190110T05:53:20Z testgroup arn:ctyun:iam::10rc2arpn6306:group/test 514648bfbc4e423f867a25281642cdfc 20190107T05:39:03Z eaa7820a93344169

本节介绍跨域互联关联的VPC如果需要互通，桌面安全组规则需允许对端访问的操作说明。 跨域互联关联的VPC如果需要互通，桌面安全组规则需允许对端访问。 规则方向：入方向 规则类型：允许 远端地址：对端VPC子网网段 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“访问控制”，再点击“安全组”，选择“新增安全组”，添加安全组策略，出入方向放通相关互访网段（没特殊要求可全部放通）； 3.在“AI云电脑（政企版）”管理控制台页面，点击“策略管理”，点击“基础策略管理”，再点击“新建策略”，将上述创建安全组绑定到该策略； 4.在操作的基础策略实例中点击“分配”，将策略分配至对应桌面即可。 注意 若原有桌面已经有安全组及相关策略，则修改放通即可。

此小节介绍企业主机安全查看安全报告。 主机安全支持订阅日报、周报、月报和自定义，展现不同周期主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 注意 勾选订阅报告后，第二天即可查看、下载。 约束限制 未开启企业版、旗舰版、网页防篡改版、容器版防护不支持安全报告相关操作。 安全报告概览 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。。 4、左侧选择“安全报告”进入安全报告概览页面。服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、单击目标报告的“获取报告”，跳转至报告预览页，可查看报告信息、下载、发送报告。 查看报告发送记录 发送记录存储了邮件发送报告的发送详情。 1、单击安全报告概览页右上角的“报告发送记录”查看报告发送记录。 2、在弹窗中查看报告发送记录，参数说明如表所示。 报告发送详情 报告发送记录参数 参数名称 参数说明 报告名称 已发送报告的名称。 统计周期 目标发送报告内容的统计周期。 报告类型 目标发送报告的统计周期类型。 安全周报 安全月报 安全日报 自定义报告 邮件发送时间 目标报告发送的时间。 3、单击“操作”列的“获取报告”可查看历史发送的报告信息，同时可预览和下载报告。

主机安全v2.0常见问题请参见服务器安全卫士（原生版）常见问题。

堡垒机v2.0常见问题请参见云堡垒机（原生版）常见问题。

本节主要介绍数据目录监控信息。 在“监控”页面点击“数据目录”，可以查看对应数据目录的实时监控信息：数据目录容量、数据目录已用容量、数据目录使用率、容量配额、已用容量配额、容量配额使用率、健康状态、健康详情。 说明 对于单机版，可以根据健康状态，选择查看对应数据目录的信息。对于集群版，可以根据存储池名称或者健康状态，选择查看对应数据目录的信息。 图1 数据目录实时监控信息（单机版） 图2 数据目录实时监控信息（集群版） 项目 描述 数据目录 具体数据目录路径。 数据目录容量 数据目录所在磁盘的容量。 数据目录已用容量 数据目录所在磁盘已用容量。 数据目录使用率 数据所在磁盘使用率。 容量配额 HBlock的容量配额。 已用容量配额 HBlock已使用的容量配额。 容量配额使用率 HBlock的容量配额使用率。 健康状态 健康状态： 健康：数据目录可正常读写，且数据目录所在磁盘使用率未超过阈值（系统默认值为95%）。 警告：数据可读，但存在以下情况的任意一种：慢盘；数据目录所在磁盘使用率超过阈值（系统默认值为95%）；磁盘剩余空间不足1GiB；HBlock对这个目录停写；数据目录配额使用率超过阈值（系统默认值为95%）；数据目录配额为0。 错误：数据目录无法访问，原因可能是：所在磁盘出现I/O错误导致无法读写，数据目录未正确挂载等。 健康详情 健康详情： 如果“健康状态”为“健康”，此列为空。 如果“健康状态”为“警告”或“错误”，显示警告或错误的详细信息。 在“监控”>“数据目录”页面，点击对应数据目录，可以查看数据目录指定时间内的监控信息：数据目录使用率、容量配额使用率、数据目录使用量、数据目录总容量、配额使用、配额。 图3 数据目录监控信息（单机版） 图4 数据目录监控信息（集群版） 项目 描述 数据目录 具体数据目录路径。 时间范围 可以选择相对时间： 近2小时 近6小时 近1天 近7天 近1年 自定义时间段，选择开始日期和结束日期，精确到天。 注意 起始时间必须早于结束时间，且起始时间不能早于服务器当前时间一年。 数据目录使用率 数据所在磁盘使用率。 容量配额使用率 HBlock容量配额使用率。 数据目录容量 数据目录所在磁盘的容量。 数据目录已用容量 数据目录所在磁盘已用容量。 容量配额 HBlock的容量配额。 已用容量配额 HBlock已使用的容量配额。

本章节介绍数据库安全续费。 数据库安全续费 续费说明 包年/包月数据库安全服务到期后会影响数据库安全服务正常运行。如果您想继续使用，需要在指定的时间内为数据库安全审计实例续费，否则实例会自动释放，数据丢失且不可恢复。 续费操作仅适用于包年/包月数据库安全服务。 数据库安全服务在到期前续费成功，所有资源得以保留，且实例的运行不受影响。 续费方式 续费分为手动续费和自动续费两种方式， 1. 一是手动续费，包年/包月数据库安全服务从购买到被自动删除之前，您可以随时在DBSS控制台为数据库安全服务续费，以延长数据库安全服务的使用时间。 2. 二是自动续费，开通自动续费后，数据库安全服务会在每次到期前自动续费，避免因忘记手动续费而导致资源被自动删除。

本节主要介绍如何使用API查询初始化进度。 此操作用来查询初始化进度。 请求语法 plaintext GET /rest/v1/system/setup HTTP/1.1 Date: date Host: ip:port Authorization: authorization 说明 本API请求不校验签名。 响应结果 名称 类型 描述 progress Integer 初始化进度百分比，范围为0~100。初始化成功或者失败，进度都为100。可以通过返回的status来查看初始化是否成功。 status String 初始化状态： Uninitialized：未初始化。 Processing：初始化中。 Succeeded：初始化成功。 Failed：初始化失败。 请求示例 查询初始化进度。 plaintext GET /rest/v1/system/setup HTTP/1.1 Date: Mon, 14 Mar 2022 10: 21: 44 GMT Host: 192.168.0.121: 1443 Authorization: HBlock userName:signature 响应示例 plaintext HTTP/1.1 200 OK Date: Mon, 14 Mar 2022 10:21:44 GMT ContentType: application/json;charsetutf8 ContentLength: 46 Connection: keepalive xhblockrequestid: fa25dee228334c70bd05c2edf46393a6 Server: HBlock { "data": { "progress": 25, "status": "Processing" } }

本章主要介绍翼MapReduce的修改OMS Kerberos管理员密码功能。 操作场景 管理员应定期修改OMS Kerberos管理员“kadmin”的密码，以提升系统运维安全性。 修改此用户密码将同步修改Kerberos管理员密码。 操作步骤 1. 以omm用户登录任意管理节点。 2. 执行以下命令，切换到目录。 cd ${BIGDATAHOME}/omserver/om/meta0.0.1SNAPSHOT/kerberos/scripts 3. 执行以下命令，配置环境变量。 source componentenv 4. 执行以下命令，修改kadmin/admin密码。此操作对所有服务器生效。 kpasswd kadmin/admin 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.;'(){}[]/<>@$%^&+中的4种类型字符。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码，例如Admin@12345。 不可与最近N次使用过的密码相同，N为密码策略配置中“重复使用规则”的值。

本页介绍天翼云TeleDB数据库存储过程开发的参数引用语法。 无命名参数 plaintext teledb CREATE OR REPLACE PROCEDURE punname(text) AS $$ BEGIN raise notice '$1%',$1; END; $$ LANGUAGE PLPGSQL; CREATE PROCEDURE teledb call punname('teledbpg'); NOTICE: $1teledbpg CALL teledb 给标识符指定别名 plaintext teledb CREATE OR REPLACE PROCEDURE pspecifyname(text) AS $$ DECLARE axm ALIAS FOR $1; axm是$1的别名 BEGIN raise notice '$1%',axm; END; $$ LANGUAGE PLPGSQL; CREATE PROCEDURE teledb CALL pspecifyname('teledbpg'); NOTICE: $1teledbpg CALL teledb 命名参数 plaintext teledb CREATE OR REPLACE PROCEDURE pname(axm text) AS $$ BEGIN raise notice '$1%',axm; END; $$ LANGUAGE PLPGSQL; CREATE PROCEDURE teledb call pname('teledbpg'); NOTICE: $1teledbpg CALL teledb

本页介绍天翼云TeleDB数据库存储过程开发的参数引用语法。 无命名参数 plaintext teledb CREATE OR REPLACE PROCEDURE punname(text) AS $$ BEGIN raise notice '$1%',$1; END; $$ LANGUAGE PLPGSQL; CREATE PROCEDURE teledb call punname('teledbpg'); NOTICE: $1teledbpg CALL teledb 给标识符指定别名 plaintext teledb CREATE OR REPLACE PROCEDURE pspecifyname(text) AS $$ DECLARE axm ALIAS FOR $1; axm是$1的别名 BEGIN raise notice '$1%',axm; END; $$ LANGUAGE PLPGSQL; CREATE PROCEDURE teledb CALL pspecifyname('teledbpg'); NOTICE: $1teledbpg CALL teledb 命名参数 plaintext teledb CREATE OR REPLACE PROCEDURE pname(axm text) AS $$ BEGIN raise notice '$1%',axm; END; $$ LANGUAGE PLPGSQL; CREATE PROCEDURE teledb call pname('teledbpg'); NOTICE: $1teledbpg CALL teledb

其他操作 查看生成的EnvoyFilter 进入服务网格控制台 > 插件扩展中心 > Envoy过滤器，选择命名空间后可以看到当前命名空间下的EnvoyFilter列表； 对于通过Envoy过滤器模板和绑定关系生成的EnvoyFilter在来源一栏显示为系统创建，此类EnvoyFilter只支持查看，不支持修改 用户直接定义EnvoyFilter 服务网格支持用户直接定义EnvoyFilter，进入服务网格控制台 > 插件扩展中心 > Envoy过滤器 > 使用YAML创建； 对于用户自定义的EnvoyFilter，支持用户编辑、删除以及基于当前EnvoyFilter创建Envoy过滤器模板的操作。

本文主要介绍超高IO型的使用须知 超高I/O型弹性云主机当前支持如下版本的操作系统： CentOS 7.2 CentOS 7.3 Ubuntu Server 16.04 Debian 8.6 建议使用Ubuntu Server 16.04操作系统。 超高I/O型弹性云主机所在的物理机发生故障时，不支持弹性云主机的迁移。部分宿主机硬件故障或亚健康场景，需要用户配合关闭ECS完成宿主机硬件维修动作。 因系统维护或硬件故障等，HA重新部署ECS实例后，实例会冷迁移到其他宿主机，本地盘数据不保留。 超高I/O型弹性云主机不支持规格变更。 超高I/O型弹性云主机不支持本地盘的快照和备份。 可使用本地盘和云硬盘两类磁盘存储数据，通过挂载云硬盘，可以提供更大的存储空间。关于本地盘和云硬盘的使用，有如下约束与限制： 系统盘只能部署在云硬盘上，不可以部署在本地盘上。 数据盘可以部署在云硬盘和本地盘上。 最多可以挂载60块盘（包括VBD盘+SCSI盘+本地盘）。 您可以通过配置fstab文件，设置云主机系统启动时自动挂载磁盘分区。具体操作请参见设置开机自动挂载磁盘分区。 超高I/O型弹性云主机的本地磁盘数据有丢失的风险（比如宿主机宕机或本地磁盘损坏时），如果您的应用不能做到数据可靠性的架构，我们强烈建议您使用云硬盘搭建您的弹性云主机。 删除超高I/O型弹性云主机后，本地NVMe SSD盘中的数据会被自动清除，请提前做好数据备份。删除本地盘数据的时间较长，因此，资源释放的时间较之常规云主机略长。 由于本地盘数据的可靠性取决于物理服务器和硬盘的可靠性，存在单点故障风险，建议您在应用层做好数据冗余，以保证数据的可用性，需要长期保存的业务数据建议使用云硬盘存储。 超高I/O型弹性云主机的本地盘设备名为/dev/nvme0n1、/dev/nvme0n2等。 Ir3型弹性云主机的本地盘为拆分型本地盘，一块本地盘可能被多个弹性云主机使用。当本地盘损坏时，会影响多个弹性云主机。 建议您在创建Ir3型弹性云主机时，将弹性云主机加入云主机组，避免出现一块本地盘损坏影响多个弹性云主机的情况。具体操作请参见管理弹性云主机组。 对于超高I/O型弹性云主机，关机后其基础资源（包括vCPU、内存）会继续收费。如需停止计费，需删除弹性云主机。

本节介绍如何订购云电脑(政企版)的3D模式。 订购规则 3D模式订购方案 付费订购（政企版） 企业管理员对桌面进行批量开通3D模式 企业员工的云电脑开通3D模式 时长查询 天翼AI云电脑客户端通过“配置”查询 天翼AI云电脑客户端通过“3D模式”查询 天翼云电脑（政企版）管理台通过“桌面视图”查询 订购规则 3D模式订购方案 提供按小时计费和包月限时两种计费方法 产品规格 目录价格 订购规则 按小时付费 5元/小时 1. 1 小时起订，单笔订单大于等于 100 小时打 8 折 2. 有效期 1 年，到期清零不可结转。 3. 支持叠加购买。 包月限时 24元/包月10小时 1. 10 小时起订，以 10 小时为步长，单笔订单大于等于 50 小时打 8 折 2. 有效期 1 个月，到期清零不可结转。 3. 支持叠加购买。 举例： 订购按小时付费 20 小时，则标准价为 520100 元 / 包年 20 小时； 订购按小时付费 100 小时，则标准价为 50.8100400 元 / 包年 100 小时； 订购包月 10 小时2，则标准价为 24248 元 / 包月 20 小时； 订购包月 10 小时5，则标准价为 240.8596 元 / 包月 50 小时。 说明 使用范围限制：3D模式付费时长包仅限于对应订购的AI云电脑使用，同一账号下其他云电脑如需使用，需另外订购时长包。 购买模式支持：支持按小时付费与包月限时套餐混合叠加购买。 扣费优先级规则：优先扣除已购买的付费时长包，付费包扣完后，方可使用免费体验时长包；若存在多个付费包，系统将优先扣除即将到期的时长包。 计费方式：购买3D模式时长包后，系统将根据3D模式的实际开启时长进行精准扣减，直至时长包用尽为止。 本服务暂不支持退订及自动续订。 最终销售价格以页面实际显示为准。

本节介绍了如何配置应用层CC告警策略。 使用场景 业务接入DDoS高防（边缘云版）后，您可以设置告警策略，当攻击事件触发告警策略时，则产生告警记录并发送告警邮件（如配置），帮助您及时掌握业务的安全状态。 前提条件 已开通DDoS高防（边缘云版）。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！ 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【告警管理】【告警策略】页面。 新增告警策略 点击【新增】按钮，在弹框中配置策略内容，完成后点击左下角【新增】。 配置说明： 配置项 说明 告警名称 自定义告警名称 告警类型 选择应用层CC告警 域名 选择应用层CC告警时，需要关联域名。域名为单选。 告警条件 应用层CC告警支持配置： 持续XX分钟，则产生告警 在XX分钟内，产生XX次攻击，则产生告警 攻击峰值QPS超过XX，则产生告警 支持勾选多条告警条件，当满足任一条件均会产生告警。 告警通知间隔 为避免告警策略被频繁触发，可设置告警通知间隔。当告警策略被触发后，在告警通知间隔事件内，若再次被触发，将不会产生告警记录。 勿扰时间 选填，在配置的勿扰事件范围内，将不会产生告警记录。 告警邮箱 接收告警的邮箱，支持配置多个邮箱，以分号隔开。 告警状态 是否启用该告警策略。若关闭，则告警策略不生效。 编辑告警策略 在策略列表操作栏，点击【编辑】按钮，可修改策略配置。 修改告警状态 您有两种方式可以修改告警状态： 1）点击【编辑】按钮，在编辑框中修改告警状态。 2）在策略列表，告警状态栏，直接开启或关闭告警状态。 删除规则 在策略列表操作栏，点击【删除】按钮，可删除策略配置。 注意 若告警策略的状态为开启，需先关闭后才能删除策略。

创建云搜索服务连接 1.单击CDM集群后的“作业管理”，进入作业管理界面，再选择“连接管理 > 新建连接”，进入选择连接器类型的界面。 2.连接器类型选择“云搜索服务”后单击“下一步”，配置云搜索服务连接参数。 名称：用户自定义连接名称，例如“csslink”。 Elasticsearch服务器列表：配置为云搜索服务集群（支持5.X以上版本）的连接地址、端口，格式为“ip:port”，多个地址之间使用分号（；）分隔，例如192.168.0.1:9200;192.168.0.2:9200。 用户名、密码：配置为访问云搜索服务集群的用户，需要拥有数据库的读写权限。 3.单击“保存”回到连接管理界面。 创建Oracle连接 1.单击CDM集群后的“作业管理”，进入作业管理界面，再选择“连接管理 > 新建连接”，进入选择连接器类型的界面。 2.连接器类型选择“Oracle”后单击“下一步”，配置Oracle连接参数： 名称：用户自定义连接名称，例如“oraclelink”。 数据库服务器地址、端口：配置为Oracle服务器的地址、端口。 数据库名称：选择要导出数据的Oracle数据库名称。 用户名、密码：Oracle数据库的登录用户名和密码，该用户需要拥有Oracle元数据的读取权限。 3.单击“保存”回到连接管理界面。 创建迁移作业 1.选择“表/文件迁移 > 新建作业”，开始创建从Oracle导出数据到云搜索服务的任务。 详见下图：创建Oracle到云搜索服务的迁移任务 作业名称：用户自定义便于记忆、区分的任务名称。 源端作业配置 −源连接名称：选择创建Oracle连接中的“oraclelink”。 −模式或表空间：待迁移数据的数据库名称。 −表名：待迁移数据的表名。 −高级属性里的可选参数一般情况下保持默认既可，详细说明请参见 配置常见关系数据库源端参数。 目的端作业配置 −目的连接名称：选择创建云搜索服务连接中的“csslink”。 −索引：待写入数据的Elasticsearch索引，也可以输入一个新的索引，CDM会自动在云搜索服务中创建。 −类型：待写入数据的Elasticsearch类型，可输入新的类型，CDM支持在目的端自动创建类型。 −高级属性里的可选参数一般情况下保持默认既可，详细说明请参见配置云搜索服务目的端参数。 2.单击“下一步”进入字段映射界面，CDM会自动匹配源和目的字段，如下图“云搜索服务的字段映射”所示。 如果字段映射顺序不匹配，可通过拖拽字段调整。 如果选择在目的端自动创建类型，这里还需要配置每个类型的字段类型、字段名称。 CDM支持迁移过程中转换字段内容。 3.单击“下一步”配置任务参数，一般情况下全部保持默认即可。 该步骤用户可以配置如下可选功能： 作业失败重试：如果作业执行失败，可选择是否自动重试，这里保持默认值“不重试”。 作业分组：选择作业所属的分组，默认分组为“DEFAULT”。在CDM“作业管理”界面，支持作业分组显示、按组批量启动作业、按分组导出作业等操作。 是否定时执行：如果需要配置作业定时自动执行，请参见 配置定时任务。这里保持默认值“否”。 抽取并发数：设置同时执行的抽取任务数。这里保持默认值“1”。 是否写入脏数据：如果需要将作业执行过程中处理失败的数据、或者被清洗过滤掉的数据写入OBS中，以便后面查看，可通过该参数配置，写入脏数据前需要先配置好OBS连接。这里保持默认值“否”即可，不记录脏数据。 作业运行完是否删除：这里保持默认值“不删除”。 4.单击“保存并运行”，回到作业管理界面，在作业管理界面可查看作业执行进度和结果。 5.作业执行成功后，单击作业操作列的“历史记录”，可查看该作业的历史执行记录、读取和写入的统计数据。 在历史记录界面单击“日志”，可查看作业的日志信息。

本文介绍如何挂载CIFS文件系统到Windows云主机。 操作场景 CIFS类型的文件系统仅支持使用Windows操作系统的云主机进行挂载。本此以Windows Sever 2012标准版操作系统为例进行CIFS类型的文件系统的挂载。其他版本请参考以下主要步骤，根据实际界面进行配置。 注意事项 不推荐CIFS协议的文件系统挂载至Linux，因为Linux系统对CIFS协议的兼容程度较低，并且Linux上的CIFS客户端存在一些安全漏洞隐患。因此本产品仅提供Windows 挂载CIFS的方式。 如果仍然期望采用CIFS协议的文件系统挂载至Linux的方式，请提交工单联系技术人员进行相关评估和配置。同时请务必知晓上述风险，若采用此种挂载方式，本服务不承诺SLA。 前提条件 在需要操作的地域创建虚拟私有云VPC，具体操作步骤参见创建虚拟私有云VPC。 已创建该VPC下的弹性云主机，操作系统为Windows Sever 2012标准版，具体操作步骤参见创建弹性云主机。 已创建该VPC下的文件系统，文件系统的协议类型为CIFS，具体操作步骤参见创建文件系统。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机页面，找到即将执行挂载操作的云主机所在行。 3. 点击“远程登录”，使用管理控制台提供的VNC方式远程登录Windows弹性云主机。 4. 对于Windows Server 2016以上的系统，需要配置允许客户端匿名访问，在命令行工具执行以下命令。 plaintext REG ADD HKEYLOCALMACHINESYSTEMCurrentControlSetservicesLanmanWorkstationParameters /f /v AllowInsecureGuestAuth /t REGDWORD /d 1 5. 单击桌面左下角Windows按键，选择这台电脑，右键单击“这台电脑>映射网络驱动器”。 6. 在弹出窗口中，设置“驱动器”盘符名称及文件夹（即在文件系统中看到的挂载目录），文件夹及为文件系统的挂载地址，可在文件系统的详情页获取，如下图。勾选“登录时重新连接”可在云主机重启后自动挂载文件系统。设置完毕后单击完成。 地域资源池挂载地址获取： 可用区资源池挂载地址获取： 7. 单击桌面左下角Windows按键，单击“这台电脑”，在网络位置处将出现已挂载的文件系统，此时您可以像使用一般的文件系统一样进行创建、修改删除文件，构造自己的文件系统。

本文主要为您介绍如何开启Cookie防篡改功能，以及如何配置Cookie防篡改参数。 网站域名接入Web应用防火墙后，您可以选择开启Cookie防篡改功能，开启后，WAF可通过Cookie中的字段对网页进行完整性校验保护。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版和标准版不支持Cookie防篡改功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 选择“系统配置”页签，定位到“Cookie防篡改”模块，可以选择开启/关闭防护。 7. 单击配置详情右侧的“前去配置”，进入Cookie防篡改配置页面，配置相关参数。 参数说明如下： 配置项 说明 防护模式 默认为“Cookie签名”，且不支持修改。 新增Cookie字段，字段值为待防护Cookie字段的签名，请求会对签名值进行完整性校验，若发生篡改则进行处置。 Cookie密钥 用于生成防篡改签名值的密钥（AES256），您可以自定义或者“快速生成密钥”。 Cookie兼容时间 生成配置后为了兼容之前未带Cookie签名的请求，可以设置生效时间。默认为当前时间。 IP校验 默认为“是”，表示除了对于防护Cookie值校验，同时也会对访问IP进行校验，同一Cookie值更换IP后无法通过校验。 修改为“否”，将仅对Cookie值进行校验。 Cookie字段名称 单击“新增Cookie字段”，新增一个Cookie字段。 HttpOnly：Cookie属性字段，用于避免客户端脚本访问该Cookie，勾选后可防止客户端脚本读取Cookie，防范XSS攻击。 Secure：Cookie属性字段，勾选后仅支持通过Https发送Cooike，防范采用Http协议发起的政击。 处置动作 选择WAF检测到篡改行为后，系统执行的动作。 拦截：拦截请求。 观察（仅记录）：仅通过日志记录请求，不进行拦截。 8. 单击“确认”，完成配置。

本页介绍天翼云TeleDB数据库中透明存储加密。 透明存储加密方式（Transparent Data Encryption, TDE）是一种保护数据库中静态数据的加密技术，使数据在存储时自动加密，有助于防止未授权访问和数据泄露。透明存储加密的特点是数据在加密和解密过程对应用程序透明，该过程中应用程序无需进行任何修改，从而简化了实施流程。加密操作（函数调用）与业务侧解耦合，业务只负责传递原始数据到数据库内核，后续的加密计算在数据库内部完成，从而业务侧操作上无感知。 透明加密的方案 透明加密是由自动加密与解密和加密密钥管理两部分机制组成。 自动加密与解密：当数据写入磁盘，TDE会自动对数据进行加密。当数据从磁盘读取时, TDE会自动对数据进行解密。整个加密与解密过程，用户和应用程序将不会感知。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起到保护文件内容的效果。 加密密钥管理：TDE通常使用对称加密算法（如AES）。加密密钥被存储在数据库管理系统外部或安全位置，加密算法的由数据库维护，包括加密算法的选择、秘钥管理，都可以由安全员独立操作完成，以确保数据安全。 开启透明存储加密 TeleDB数据库支持提供TDE功能。当用户需要对磁盘上存储的数据进行加密和解密来实现对数据的保护时，可以对该功能进行开启。 注意 TDE功能仅能在实例开通时开启，且开启后无法关闭。 支持加密功能的内核版本为：5.1.5。 您可参考如下操作开启透明加密。 管控侧操作： 1. 以用户名和密码登录TeleDBDCP管理控制台。 2. 进入TeleDBDCP控制台管理页面，开通实例。您可参考《安装部署》中实例服务初始化及实例开通章节开通实例。 3. 在实例开通页面，填写基本信息页面，打开KMS开关，选择KMS机器。 说明 KMS开启后无法关闭，选择后无法更改。 数据库侧操作： 说明 用户可以通过函数创建加密算法，之后可以通过函数将创建的算法绑定到schema，表和列上，实现加密算法和数据库对象建⽴关联。同时⽀持，将已经绑定的算法从schema，表和列上解绑，从⽽取消加密算法和数据库对象之间的关联关系。 1. 创建加密算法 SELECT MLSTRANSPARENTCRYPTCREATEALGORITHM(algoname, password) 2. 注销加密算法 SELECT MLSTRANSPARENTCRYPTDROPALGORITHM(algoid) 3. 加密算法绑定 (1) 绑定到Schema SELECT MLSTRANSPARENTCRYPTALGORITHMBINDSCHEMA(schemaname, algoid) (2) 绑定到表 SELECT MLSTRANSPARENTCRYPTALGORITHMBINDTABLE(schemaname, tablename, algoid) (3) 绑定到列 SELECT MLSTRANSPARENTCRYPTALGORITHMBINDTABLE(schemaname, tablename, attrname, algoid) 4. 加密算法解绑 SELECT MLSTRANSPARENTCRYPTALGORITHMUNBINDSCHEMA(schemaname) SELECT MLSTRANSPARENTCRYPTALGORITHMUNBINDTABLE(schemaname, tablename, needcascade) 使用示例 创建管理插件 CREATE EXTENSION teledbxmls; 切换为安全管理员⽤⼾ c mlsadmin 注册内置的加密算法和对应密钥（此处使⽤国测sm4加密算法进⾏注册），获得对应的algo id select MLSTRANSPARENTCRYPTCREATEALGORITHM('SM4','0123456789012345'); select MLSTRANSPARENTCRYPTCREATEALGORITHM('AES128','0123456789012345'); c xieyuecreate table t1(id int,content int); c mlsadmin 将加密算法绑定到表上 select MLSTRANSPARENTCRYPTALGORITHMBINDTABLE('public','t1',1); insert into t1 values(1,0), (2,0), (3,0); insert into t1 values(7, 0), (8,0), (9,0);

本节为您介绍自建PostgreSQL迁移至自建MySQL任务配置。 前提条件 （1）自建MySQL目标端版本为5.6、5.7、8.0版本。 （2）若您将列名仅大小写不同的字段写入到目标MySQL数据库的同一个表中，可能会因为MySQL数据库列名大小写不敏感，导致迁移失败。 （3）MySQL需关闭大小写敏感。 目标端权限要求 迁移模式 所需权限 基础权限 SELECT, DELETE, INSERT 全量迁移 需具备基础权限，且具备ALTER权限 增量迁移 需基本基础权限 结构迁移 CREATE, REFERENCES, INDEX, TRIGGER, CREATE VIEW, DROP, CREATE ROUTINE, EXECUTE 稽核修复 需基本基础权限 目标端配置 数据源类型 选定为MySQL，可将源端迁移至版本范围内的MySQL数据库 服务器IP 目标端数据库的连接IP 端口号 目标端数据库的端口 用户名 用于连接待目标端数据库的用户名称 密码 用于连接待目标端数据库的用户的密码 数据库 目标端用于接收源端数据的数据库名称

型号及配置（软硬件标配） 固定规格（基础版） S5131（专业版x86I型） S5132（专业版x86Ⅱ型） S5133（专业版x86Ⅲ型） CPU 4108 (8C, 1.8GHz) 2Intel 4516Y+ 2Intel 5520+ 2Intel 6530 内存 64GB 128GB 256GB 512G 系统盘 2 1200GB SAS 960G SSD 960G SSD 960G SSD 缓存盘 数据盘 36 8TB SATA 阵列卡 1 RAID卡 1 SAS卡 1 SAS卡 1 RAID卡 网卡 2GE(电口) + 210GE(光口)网卡 双口千兆电口网卡+双口万兆光口网卡 双口千兆电口网卡+双口10G光口网卡 双口千兆电口网卡+双口25G光口网卡 软件配置 不低于90TB容量的软件授权 5TB容量的软件授权 5TB容量的软件授权 5TB容量的软件授权

本节主要介绍GET Bucket Policy。 此操作用来返回指定Bucket的Policy。只有根用户和拥有GET Bucket Policy权限的子用户才能执行此操作，否则会返回403 AccessDenied错误。如果Bucket没有Policy，返回404，NoSuchPolicy错误。 请求语法 GET /?policy HTTP/1.1 Host: BucketName.ooscn.ctyunapi.cn Date: date Authorization: SignatureValue 请求参数 名称 描述 是否必须 BucketName 存储桶名称 是 请求示例 GET /?policy HTTP/1.1 Host: examplebucket.ooscn.ctyunapi.cn ContentMD5: 1B2M2Y8AsgTpgAmY7PhCfg ContentType: application/octetstream XAmzContentSha256: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 Date: Sun, 28 Apr 2024 06:13:38 GMT Authorization: SignatureValue 响应示例 HTTP/1.1 200 OK ContentType: application/xml;charsetUTF8 xamzrequestid: 2d3abf4e95fa4a092b9e91a095a2a4aa696b725f6163656769 Date: Sun, 28 Apr 2024 06:13:38 GMT ContentLength: 465 Server: CTYUN { "Version":"20121017", "Id":"", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "CTYUN": "arn:ctyun:iam::32fefj64y54gc:user/test1" }, "Action":"oos:", "Resource":"arn:ctyun:oos:::examplebucket/", "Condition":{ "StringLike":{ "ctyun:Referer":[ " " ] } } } ] }

本节主要介绍Get Regions。 获取资源池中的索引位置和数据位置列表。 注意 香港节点不支持此接口。 请求语法 GET /?regions HTTP/1.1 HOST:ooscn.ctyunapi.cn Date:date Authorization: SignatureValue 请求参数 名称 描述 是否必须 regions 表示要获取索引位置和数据位置的列表。 是 响应结果 名称 描述 BucketRegions Bucket的索引位置和数据位置。 类型：容器 MetadataRegions Bucket的索引位置。 类型：容器 DataRegions Bucket的数据位置。 类型：容器 Region 索引位置或数据位置的值。 类型：字符串 请求示例 GET /?regions HTTP/1.1 Host: ooscn.ctyunapi.cn Date: Fri, 29 Oct 2021 06:49:13 GMT ContentType: application/octetstream Connection: KeepAlive Authorization: SignatureValue 响应示例 HTTP/1.1 200 OK ContentType: application/xml;charsetUTF8 Date: Fri, 29 Oct 2021 06:49:12 GMT xamzrequestid: 79a75e2d5bc54d4ffc686c737b73757b3a3c4030323436383a Server: CTYUN ContentLength: 281 ShenYang ChengDu ZhengZhou ShenYang ChengDu ZhengZhou

本节主要介绍使用备份文件迁移自建Redis 场景描述 当前DCS支持将其他云厂商Redis、自建Redis的数据通过DCS控制台迁移到DCS的Redis。 您需要先将其他云厂商Redis、自建Redis的数据备份下载到本地，然后将备份数据文件上传到与DCS Redis实例同一租户下相同Region下的OBS桶中，最后在DCS控制台创建迁移任务，DCS从OBS桶中读取数据，将数据迁移到DCS的Redis中。 上传OBS桶的文件支持.aof、.rdb、.zip、.tar.gz格式，您可以直接上传.aof和.rdb文件，也可以将.aof和.rdb文件压缩成.zip或.tar.gz文件，然后将压缩后的文件上传到OBS桶。 前提条件 OBS桶所在区域必须跟Redis目标实例所在区域相同。 上传的数据文件必须为.aof、.rdb、.zip、.tar.gz的格式。 如果是其他云厂商的单机版Redis和主备版Redis，您需要在备份页面创建备份任务，然后下载备份文件。 如果是其他云厂商的集群版Redis，在备份页面创建备份后会有多个备份文件，每个备份文件对应集群中的一个分片，需要下载所有的备份文件，然后逐个上传到OBS桶。在迁移时，需要把所有分片的备份文件选中。 步骤1：准备目标Redis实例 如果您还没有DCS Redis，请先创建，创建操作，请参考创建实例。 如果您已有DCS Redis，则不需要重复创建，但在迁移之前，您需要清空实例数据，清空操作，请参考清空实例数据。

本节介绍虚拟电教室的功能简介。 虚拟电教室功能是一个基于电子教室类场景（学校计算机机房、企业培训室等）的解决方案，为后续所有电子教室场景使用提供更便捷的功能。 虚拟电教室功能在创建时可注册绑定教室中的物理设备，定义虚拟教室中的教师机与学生机的范围。在使用过程中，老师则可以在教师机上通过插件功能对学生机进行整体控制（开机、关机、发起广播、切换学生机镜像等）。 详细功能如下： 1. 管理：可通过天翼云电脑（政企版）控制台完成虚拟教室管理相关功能。 2. 确定范围：在部署环节可完成教师机、学生机的注册管理，绑定教师机学生机MAC与身份并确定范围。 3. 免登录：注册为虚拟教室学生机的设备，可通过绑定注册账号，实现免认证登录。开机自动获得该用户桌面。 4. 一键控制：教师机可以对虚拟电教室范围内的学生机进行一键控制（开机、关机、发起广播、切换学生机镜像）。 说明 使用条件： 天翼云电脑（政企版）控制台需使用v2.6版本及以上。 天翼云电脑Windows客户端或安卓客户端需使用v2.6版本及以上（预览版客户端暂不支持）， 且同一个虚拟电教室仅支持使用同一类设备（例如：教师机和学生机均使用安卓客户端）。 所有教师机和学生机必须通过网线接入局域网，且交换机需支持组播（Multicast）功能。 终端需支持WOL（ WakeonLAN）远程唤醒功能。

本章节介绍Redis节点故障演练。 背景介绍 Redis 高可用依赖主备同步与故障切换。主/备节点进程因缺陷、配置或误操作停止时，可能触发切换或影响应用：主节点停触发主备切换，备节点停影响读能力和冗余。本演练模拟核心进程停止，验证高可用切换和客户端故障转移，帮助您评估业务影响。 基本原理 通过调用Redis停止Redis服务OpenAPI，模拟Redis节点故障，故障会触发Redis HA机制进行自动恢复。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式缓存服务Redis版 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标Redis 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式缓存服务Redis版。 添加实例 ：单击添加实例 ，勾选上一步中添加的Redis实例。 添加故障动作 ：单击立即添加 ，在列表中选择Redis节点停止动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 故障节点 ：注入故障的目标节点（主节点或备节点）。